1 неделя
Подготовка
Сценарий, роли, раздаточные
2-3 часа
Учение
4-6 фаз сценария
48 часов
AAR
Документирование находок
2 недели
IRP Update
Устранение пробелов
ТИПИЧНЫЕ НАХОДКИ ПО РОЛЯМ
Кто чего не знает — при первом tabletop
CEO: не знает, кому звонить в первый час
Юристы: не знают точный срок уведомления РКН
CFO: не знает deductible по киберстраховке
CISO: не может изолировать без письменного разрешения
Экономбез: нет процедуры взаимодействия с правоохранителями для киберинцидента; не знает, кто решает о публичном раскрытии; нет шаблона уведомления крупных клиентов
Физбез: нет процедуры опечатывания скомпрометированного оборудования; не знает, как координировать IT и охрану при отключении сервера
PR: не знает, когда выходить с заявлением
ТРИ УРОВНЯ TABLETOP
Discussion-based
Разбор сценария за столом
Functional
Симуляция с инструментами
Full-scale drill
Полная отработка с ИТ
Facilitation Checklist
✓ Актуальный сценарий
✓ Список участников с ролями
✓ Копия IRP
✓ Контактный лист эскалации
✓ Часы-таймер
✓ Журнал решений
ROI учений
3 часа × 4 квартала = 12 часов/год
Инвестиция: 400 тыс. руб.
Экономия при инциденте: 2-5 млн руб.
Tabletop — самый дешёвый способ купить уверенность перед реальным инцидентом. 3 часа в квартал против 3 недель хаоса при настоящем взломе. Для экономбеза это возможность построить рабочие отношения с CISO и юристами до инцидента, а не во время.